La FTC advierte sobre la exposición de 2,5 millones de datos de usuarios

Published:

La plataforma de entrega de alcohol Drizly ha estado bajo el radar de la Comisión Federal de Comercio (FTC) por no proteger los datos de los usuarios. Uber adquirió la plataforma en 2021.

Según el anuncio de la FTC, Drizly debe destruir los datos innecesarios y limitar la recopilación y retención de datos en el futuro. Además, su director ejecutivo, James Cory Rellas, debe cumplir con requisitos específicos de seguridad de datos. La FTC dice que la plataforma «no ha tomado medidas para proteger los datos de los consumidores de los piratas informáticos», y los datos de 2,5 millones de clientes quedaron expuestos.

Según los informes, Drizly tiene un historial deficiente en la protección de los datos de los usuarios. En 2018, uno de sus empleados publicó las credenciales de Amazon Web Services (AWS) en GitHub. Esto permitió a los piratas informáticos extraer criptomonedas a través de los servidores de Drizly.

“Nuestra medida cautelar propuesta contra Drizly no solo restringe lo que la empresa puede retener y cobrar en el futuro, sino que también asegura que el director ejecutivo enfrente consecuencias por el descuido de la empresa”, señaló Samuel Levine, director de la Oficina de Protección al Consumidor de la FTC.

La FTC ordena a Drizly reforzar la seguridad y eliminar datos innecesarios

La plataforma con sede en Boston recopila una gran cantidad de datos de clientes, incluidos correos electrónicos, direcciones postales, números de teléfono, identificadores únicos de dispositivos, información de geolocalización y datos comprados a terceros. Todos los datos se almacenan en los servidores AWS de la empresa.

La FTC ahora culpa a Drizly por cuatro problemas. En primer lugar, no implementó medidas de seguridad básicas, como obligar a los empleados a utilizar la autenticación de dos factores para GitHub o restringir el acceso de los empleados a los datos personales. La empresa también mantuvo información crítica de la base de datos en una plataforma no segura y no supervisó la red en busca de vulnerabilidades de seguridad. Finalmente, expuso a los clientes a piratas informáticos y ladrones de identidad, y esos datos se pusieron a la venta en dos sitios diferentes de acceso público en la web oscura.

De acuerdo con el fallo de la FTC, Drizly ahora debe eliminar todos los datos de los clientes que no sean necesarios para la retención, y también debe informar a la Comisión de los datos destruidos. Lo siguiente que debe hacer Drizly es limitar la cantidad de datos que recopila de los clientes y dejar claro en su sitio web qué tipo de datos recopila y por qué. Además, la empresa debe implementar un programa de seguridad de la información para capacitar a los empleados en las medidas de seguridad.

Esto te podría gustar..

Recién publicado